应急响应-CS流量分析&心跳指令&特征提取

最新推荐文章于 2024-09-08 12:02:17 发布

SuperherRo

最新推荐文章于 2024-09-08 12:02:17 发布

阅读量2.6k

点赞数 31

分类专栏： # 应急响应文章标签： CS 流量分析特征提取

本文链接：https://blog.csdn.net/m0_60571842/article/details/137718360

版权

应急响应专栏收录该内容

23 篇文章

订阅专栏

本文详细介绍了在CobaltStrike背景下，如何通过流量分析来识别HTTP/S协议的基础特征，如心跳请求和URL指令，以及HTTPS中的证书和源码特征（ja3/ja3s）。包括对默认证书的检查和CobaltStrike特定的源码指纹。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

知识点

战后-流量分析-CS
在这里插入图片描述

在这里插入图片描述

一、演示案例-流量分析-CS-HTTP/S协议-基础特征&源码特征

HTTP

在这里插入图片描述

1、基础特征：解密心跳请求

在这里插入图片描述

https://blog.didierstevens.com/didier-stevens-suite/
python 1768.py xxxx.vir

在这里插入图片描述

2、请求特征：

URL路径
在这里插入图片描述
下发指令

UA头（老版本UA会固定，4.7以上UA会变化）

在这里插入图片描述

3、源码特征：checksum8 （92L 93L）

public class EchoTest {
    public static long checksum8(String text) {
        if (text.length() < 4) {
            return 0L;
        }
        text = text.replace("/", "");
        long sum = 0L;
        for (int x = 0; x < text.length(); x++) {
            sum += text.charAt(x);
        }
        return sum % 256L;
    }
    public static void main(String[] args) throws Exception {
        System.out.println(checksum8("Yle2"));
    }
}

在这里插入图片描述

HTTPS

1、证书特征(.store)

默认我们不配置CS证书时，使用的是CS自带的证书，先不说为什么要修改，先看看默认证书内容
使用keytool.exe【电脑如果有java环境，是自带的】打开
keytool -list -v -keystore cobaltstrike.store
需要输入口令,默认情况是123456，如果不是123456，则可以尝试打开teamserver文件，查看

在这里插入图片描述

这个是原始的 cobaltstrike.store文件，全部是CS特征，直接定位到了，查杀。

2、源码特征（ja3 ja3s）

在这里插入图片描述

client hello
4d5efa96609dc906f796e63cff009c2a
db36bad574044a5104a59b0c676991ef

在这里插入图片描述

server hello 
15af977ce25de452b96affa2addb1036
2253c82f03b621c5144709b393fde2c9

在这里插入图片描述